5 major types of ransomware attacks

• Cuando se trata de ciberseguridad, el ransomware es probablemente una de las primeras amenazas que nos vienen a la mente. Hoy en día, el ransomware se encuentra entre las principales amenazas de ciberseguridad que afectan a individuos, empresas y organizaciones todos los días.
• Este artículo describe los 5 tipos principales de ataques de ransomware, incluidos el ransomware de cifrado (crypto), el ransomware de bloqueo (locker), el scareware, el leakware y el ransomware de doble extorsión.
• Independientemente del tipo de ransomware, hacer copias de seguridad de los datos con antelación y el empleo adecuado de software de seguridad pueden reducir significativamente la intensidad de un ataque.

El ransomware es una de las estrategias más efectivas para atacar empresas, infraestructuras críticas e individuos. Este tipo de malware infecta computadoras y prohíbe o restringe severamente a los usuarios y al software externo el acceso a dispositivos o sistemas completos hasta que se cumplan las demandas de rescate.

Durante mucho tiempo, solo existían dos tipos principales de ransomware: el crypto y el locker. Hoy, desafortunadamente, han surgido más tipos de ransomware, dirigidos a usuarios y organizaciones con diferentes enfoques. Ver también: El registro de miembros desaparecido de AfriNIC.

5 tipos principales de ataques de ransomware

1. Ransomware de cifrado (crypto)

Este tipo de ransomware hace que tus archivos y datos importantes, incluidos documentos y multimedia, no estén disponibles al cifrarlos y quitarte la clave de descifrado. No obstante, las demás funcionalidades de los computadores de las víctimas permanecen intactas. Ver también: Desaparición del registro de miembros de AfriNIC.

Los atacantes luego exigen un rescate a cambio de la clave de descifrado. A menudo muestran una cuenta regresiva y una advertencia de que los archivos se eliminarán si no se paga el rescate. Las víctimas tienden a pagar el rescate dependiendo de qué tan sensibles e importantes sean los datos cifrados. Sin embargo, no hay garantía de que los atacantes devuelvan la clave de descifrado. Un ejemplo bien conocido de ransomware de cifrado es WannaCry, que afectó a cientos de miles de computadoras en más de 150 países en 2017.

2. Ransomware de bloqueo (locker)

El ransomware de bloqueo, también llamado 'screen lockers' (bloqueadores de pantalla), bloquea tu computadora una vez que es atacada, haciendo que todos o algunos de los datos y funcionalidades del sistema sean inaccesibles. Por ejemplo, puede que no puedas acceder al escritorio de la computadora, pero aún podrías usar el ratón y el teclado con funcionalidad limitada. Ver también: Alejandro Fernandez.

Aquí, los atacantes solo te permiten interactuar con la pantalla que muestra la nota de rescate. Dado que los datos importantes permanecen sin cifrar, no se destruirán. Este tipo de ransomware también suele incluir un reloj de cuenta regresiva para obligar al usuario a pagar el rescate lo antes posible. Ver también: Aldo Garcia.

3. Scareware

El scareware, como su nombre lo indica, asusta a los usuarios informándoles que sus computadoras han sido infectadas con malware. Los engaña para que paguen una tarifa o compren software antivirus para solucionar el problema. El scareware suele aparecer en ventanas emergentes cuando visitas o instalas software infectado con él. Y aquí está el truco principal: tu computadora aún no ha sido infectada con malware, pero el software antivirus que el scareware te pide que compres es malicioso. Ver también: Alcymer Vieira.

El scareware también puede distribuirse mediante correos electrónicos no deseados, que engañan a los usuarios para que compren algo sin valor. Esas compras pueden incluir malware, que puede robar información confidencial del usuario. Un ejemplo de scareware es Antivirus Pro 2010, que infectaba computadoras a través de anuncios y ventanas emergentes maliciosos.

Lee también: ¿Qué entender sobre las direcciones IPv6 de APNIC?

4. Leakware (exfiltración)

El leakware es un ransomware que va más allá de cifrar tus datos confidenciales. Amenaza con filtrar tus datos al público o a terceros a menos que pagues el rescate exigido. Como resultado, es un tipo de ransomware más peligroso que el ransomware de cifrado tradicional. Ver también: Alcides Cremonezi.

Al igual que el ransomware de cifrado, el leakware cifra el conjunto de datos, haciéndolo inaccesible, y mantiene la clave de cifrado en poder del atacante. Se aseguran de que estos datos sean confidenciales para la(s) víctima(s), por lo que filtrarlos podría dañar potencialmente al individuo o a la organización. Ver también: Alberto Anaya.

5. Ransomware de doble extorsión

El atacante cifra archivos y exporta datos para chantajear a la víctima y obligarla a pagar un rescate. El atacante amenaza con publicar los datos robados si no se cumplen sus demandas, incluso si la víctima puede restaurar sus datos desde una copia de seguridad. Un ejemplo de ransomware de doble extorsión es Ryuk, que atacó a varias grandes empresas en Estados Unidos y Europa en 2019 y 2020.

Lee también: ¿Qué es la banca abierta? Una guía breve

¿Cómo prevenir los ataques de ransomware?

La prevención del ransomware es un gran desafío para organizaciones de todo tipo y tamaño, sin una solución mágica. Los expertos dicen que las empresas necesitan una estrategia de prevención de ransomware multifacética que incluya lo siguiente: Ver también: Albert Kis.

Seguridad de defensa en profundidad

Un enfoque de defensa en profundidad cuenta con controles de seguridad en capas que funcionan en conjunto para bloquear la actividad maliciosa. Si el malware logra eludir un control, la esperanza es que otro mecanismo de seguridad superpuesto lo detenga.

Controles de seguridad avanzados

Si bien los controles básicos de ciberseguridad pueden reconocer y atrapar muchas variantes conocidas de ransomware, las tecnologías de protección avanzadas tienen más probabilidades de descubrir ataques novedosos. Considere herramientas y estrategias como detección y respuesta extendidas (XDR), detección y respuesta gestionadas, Secure Access Service Edge (SASE), SIEM, análisis de comportamiento de usuarios y entidades, seguridad de confianza cero y engaño cibernético.

Gestión de parches

Cuando el ataque de ransomware WannaCry golpeó por primera vez en mayo de 2017, aprovechó una vulnerabilidad conocida para la cual Microsoft había lanzado un parche dos meses antes, uno que cientos de miles de víctimas aún no habían implementado. Sorprendentemente, las organizaciones con sistemas sin parches siguen siendo víctimas de WannaCry y muchos otros ataques heredados.

Copias de seguridad de datos

Las copias de seguridad de datos críticos pueden cortocircuitar eficazmente un ataque de ransomware, permitiendo que una organización restaure sus operaciones sin ceder a las demandas de los ciberdelincuentes. Sin embargo, es crucial que la copia de seguridad sea inaccesible desde el entorno de TI principal para que los actores de amenazas no puedan encontrarla y cifrarla durante la intrusión. También es importante señalar que, si bien las copias de seguridad son una parte importante de la defensa contra el ransomware, no son una panacea, especialmente en el caso de ataques de doble o triple extorsión.

Los ataques de ransomware tienen muchas apariencias diferentes y se presentan en todas las formas y tamaños. El vector de ataque es un factor importante para los tipos de ransomware utilizados. Para estimar el tamaño y el alcance del ataque, es necesario considerar siempre lo que está en juego o qué datos podrían ser eliminados o publicados. Independientemente del tipo de ransomware, hacer copias de seguridad de los datos con antelación y el empleo adecuado de software de seguridad pueden reducir significativamente la intensidad de un ataque.